Cabecera Home
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Jordi Aguilà, Director de Seguridad IT de CaixaBank

El Red Team como método de prevención de ataques dirigidos

Para nuestra entidad, un Red Team es un grupo independiente de ciberatacantes que reta a una organización para que pueda mejorar su efectividad

En los tiempos actuales, una de las mayores preocupaciones de los responsables de seguridad de las organizaciones de la sociedad moderna es un ataque dirigido –o amenaza persistente avanzada (APT, por sus siglas en inglés)–. Pero, ¿qué es y en qué consiste un ataque APT?

Dentro de los APT se engloba cualquier tipo de ataque que se dirija hacia una empresa, organización, infraestructura, estado, gobierno, estamento militar, etc., que esté conectado a Internet. Y puede dirigirse a una red interna compleja constituida por varias subredes, a una sola red o a un solo ordenador.

El ataque se produce con la intención de apoderarse de algo que tenga valor: dinero o información sensible. Y dentro de esta última se cuenta cualquier información que, secreta o no, pueda interesar al atacante, ser vendida o servir incluso para algún tipo de trueque con un tercero. A continuación, algunos ejemplos:

  •  Información militar estratégica que permita, a través de su conocimiento, dar ventaja a un posible rival o adversario. 
  • Información de la alta dirección de una empresa que facilite obtener una ventaja competitiva o adelantarse a una operación de compra o inversión. 
  • Datos personales que posibiliten a los atacantes realizar un ataque posterior o saber la condición económica del atacado. 
  • Datos del historial médico de pacientes. 
  • Futuros movimientos físicos de empleados de una empresa u organización. 
  • Diseños innovadores de bienes industriales, automóviles, aviones, barcos, etc. 
  • Investigaciones de medicamentos por parte de la industria farmacéutica. 
  • Datos de la estrategia de defensa de un acusado en un despacho de abogados.

El atacante o los grupos de atacantes pueden ser individuales, formar parte del crimen organizado, de una organización internacional o incluso de un estado y estar amparados por un gobierno o una empresa competidora interesada en nuestros movimientos en el mercado. En todos los casos, la información llegará a un destinatario que podrá utilizarla. Si no es así, será vendida a quien interese en una de las estructuras (web, foro, etc.) de la parte oculta de Internet, la darknet, a la que no podemos acceder con los buscadores convencionales. Se considera que la darknet es mucho más grande que la Internet visible y se compara con la imagen gráfica de un iceberg flotando en el mar. La parte sumergida equivale a la darknet.

La conexión entre bandas criminales en Internet es elevada y el obtentor de la información sabe perfectamente porqué y para quién realiza el ataque o a quién puede interesar la información obtenida en el caso de que encuentre una sorpresa inesperada en su ataque.

¿Cómo protegerse?

Las organizaciones que podemos ser posibles víctimas reforzamos el perímetro, pensando con buen criterio que cuantas más altas sean las almenas del castillo y más grueso su muro, más difícil le será a un atacante llegar al torreón interior donde vive la princesa. Para ponerle una guinda al pastel, simulamos ataques con el objetivo de comprobar lo fuertes que son nuestras medidas de defensa. Y para realizar estos tests de intrusión solemos contratar a organizaciones de confianza que siguen unos protocolos establecidos.

Para superarnos aún más, efectuamos correlación de logs y registros que nos generan alertas que revisamos de forma continua para establecer comportamientos maliciosos. Con esto y algunas medidas más como predicción, algoritmos de anticipación, evaluación continua de riesgos, prevención, etc., le comunicamos a la dirección de nuestra organización que ya pueden (podemos) dormir tranquilos. Estas medidas están bien y todas las organizaciones que se precien deben realizarlas, pero no son en absoluto suficientes.

Contentarse con esto sería no conocer profundamente el perfil de un hacker profesional, tenaz, paciente, imaginativo, motivado por el logro, etc., ni pensar en el mayor de los parámetros de los que dispone para obtener sus logros: el tiempo.

Para seguir leyendo acceda a este enlace

Volver